NUEVA VARIANTE DE TROYANO TRICKBOT, CONOCIDA COMO “1000029”
Troyano bancario roba credenciales y se propaga en las redes usando el Server Message Block (SMB) como el WannaCry
Aunque la ola de los ransomware WannaCry y Petya se ha frenado, atacantes y cibercriminales han tomado notas de los brotes globales para crear malware más poderoso.
Investigadores de seguridad han descubierto al menos a un grupo de cibercriminales que está tratando de dar a sus troyanos bancarios las capacidades de propagarse automáticamente, similares a las de un gusano, que hicieron que los ataques de ransomware recientes llegaran a todo el mundo.
La nueva versión de troyano bancario TrickBot, conocido como “1000029” (v24), roba credenciales usando el protocolo Windows Server Message Block (SMB), el cual permitio a WannaCry y a Petya propagarse rápidamente por todo el mundo.
TrickBot es un troyano bancario que ha afectado instituciones financieras en todo el mundo desde el año pasado. El troyano generalmente se propaga a través de archivos adjuntos de correos electrónicos, intentando engañar a los usuarios haciéndose pasar por una “institución financiera internacional” sin nombre, que solicita las credenciales de la víctima usando una página de inicio de sesión falsa.
La semana pasada investigadores de Flashpoint, que han estado registrando continuamente las actividades de TrickBot y sus objetivos, han descubierto que el troyano ha evolucionado para propagarse localmente en las redes usando el Server Message Block (SMB). La nueva versión de TrickBot todavía está en pruebas, por lo que aún no están completamente implementadas las nuevas funciones. Tampoco tiene la capacidad de escanear aleatoriamente IP externas para buscar conexiones SMB, como lo hace WannaCry usando una vulnerabilidad llamada EternalBlue.
Los investigadores de Flashpoint dijeron que el troyano fue modificado para escanear los dominios de las listas de servidores vulnerables, usando la API de NetServerEnum de Windows, de esta forma pueden enumerar otros equipos de la red a través de LDAP (Lightweight Directory Access Protocol). La nueva versión de TrickBot también se puede disfrazar con el nombre “setup.exe” y enviarse a través de PowerShell para propagarse a través de la comunicación entre procesos, con lo que se descargarían nuevas versiones en las unidades compartidas.
Según los investigadores, el último descubrimiento de las nuevas versiones de TrickBot proporciona una visión de lo que los creadores del malware podrían usar en el futuro próximo.
“Flashpoint estima con moderada confianza que la pandilla detrás de TrickBot probablemente continuará siendo una fuerza formidable a corto plazo”, dijo Vitali Kremez, director de investigación en Flashpoint.
“Aunque el módulo para brindar propiedades de gusano actualmente parece poco desarrollado, es evidente que los creadores de TrickBot han aprendido de los brotes globales de ransomware con propiedades de gusano como WannaCry y ‘NotPetya’, y están intentado replicar su metodología”.
Para protegerse contra este tipo de infecciones maliciosas, siempre hay que estar alerta y sospechar de archivos no solicitados y documentos enviados por correo electrónico, además de no hacer clic en enlaces dentro de correos a menos que se pueda verificar la fuente.
Para siempre cuidar datos valiosos, se debe tener una buena rutina de respaldos y crear las copias en un dispositivo de almacenamiento externo que no esté siempre conectado a los equipos.
Además, asegúrarse de tener un antivirus efectivo en su sistema y mantener todo actualizado.
Ver información original al respecto en Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.